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(57) Abstract: A data processing system comprises an execution unit (1) that functions in a clocked manner, a clock generator 
^ (5) for supplying a clock signal for the execution unit (1), and a monitoring unit (3) for monitoring the proper functioning of the 
execution unit (1). The clock generator (5 ) is designed for supplying the clock signal with a controllable frequency. The monitoring 
unit (3) is functionally connected to the clock generator (5) in order to lower the frequency of the clock signal when it has been 
\^ established that the execution unit (Mis functioning improperly. 

^ [ Fortsetzung auf der nachsten Seite ] 
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(57) Zusammenfassung: Ein Datenverarbeitungs System umfasst eine getaktet arbeitende Ausfuhrangseinheit (1), einen Taktge- 
nerator (5) zum Liefern eines Taktsi glials fiir die Ausfiihrungseinheit (D und eine tlberwachungseinheit (3) ram IJberwachen des 
ordnungsgemaBen Arbeitens der Ausfuhrungseinheil ( I ) Der Taklgeneraloi (5)isl eingerichlel, das Taktsignal mil einer steuerbaren 
Frequenz zu liefern. Die Uberwachungseinheit ist (3) funktionsmaBig mit dem Taktgenerator (5) verbunden, um die Frequenz des 
Taktsignals herabzusetzen, wenn nichtordnungsgemaBes Arbeiten der Ausfiihrungseinheit (1) festgestellt wird. 
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5 

Datenverarbeitungssystem mit variabler Taktrate 

Stand der Technik 

10 

Die vorliegende Erfindung betrifft ein Datenverar- 
beitungssystem mit einer getaktet arbeitenden Aus- 
fuhrungseinheit wie etwa einem Mikroprozessor , ei- 
nem Taktgenerator zum Liefern eines Taktsignals fur 
15 die Ausfuhrungseinheit und einer Uberwachungsein- 
heit zum Uberwachen des ordnungsgemaJien Arbeitens 
der Ausfuhrungseinheit. 

Solche Uberwachungseinheiten, die auch unter der 
20 Bezeichnung „Watchdog" bekannt sind, dienen her- 
kommlicherweise dazu, einen undef inierten Zustand 
bzw. Absturz der Ausfuhrungseinheit zu erkennen und 
erf orderlichenf alls die Ausfuhrungseinheit zuruck- 
zusetzen, urn einen definierten Betriebszustand wie- 
25 der herzustellen . Ein solcher „Watchdog" ist in der 
Lage, unter Inkaufnahme einer zeitweiligen Be- 
triebsunterbrechung der Ausfuhrungseinheit wahrend 
des Zuriicksetzens einen Storungszustand zu beheben, 
der sich aus einem spontanen Verarbeitungsf ehler, 
30 z. B. auf Grund von Inf ormationsverlust durch den 
Einfluss von kosmischer oder sonstiger ionisieren- 
der Strahlung oder dergleichen ergeben kann . Struk- 
turelle Mangel des Datenverarbeitungssystems von 
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schaltungstechnischer oder programmtechnischer Art, 
die zu reproduzierbaren Fehlern in der Verarbeitung 
fiihren, konnen von einem solchen „Watchdog" nicht 
abgefangen werden, da dieser das Auftreten der in 
5 vorhersagbarer Weise zu dem Fehler fuhrenden Bedin- 
gungen nicht verhindern kann . 

Eine weitere mogliche Ursache fur Verarbeitungsf eh- 
ler in einem elektronischen Datenverarbeitungssys- 

10 tern sind Lauf zeitef f ekte . Da sich die elektrischen 
Signale auf einem Halbleiterchip oder zwischen meh- 
reren Chips eines Datenverarbeitungssystems nur mit 
einer bestimmten Geschwindigkeit ausbreiten konnen, 
miissen die Langen der Signalwege um so geringer und 

15 um so genauer aufeinander abgestimmt sein, je hoher 
die Taktfrequenz ist, bei der das System betrieben 
wird. Parasitare Kapazitaten an den Signalleitungen 
konnen Anderungen der Signalpegel verzogern. Da 
diese parasitaren Kapazitaten f ertigungsbedingt 

20 streuen konnen, ist es iiblich, bei der Produktion 
eines Prozessors zu testen, wie hoch die maximale 
Taktfrequenz ist, bei der der Prozessor sicher ar- 
beitet . Fur diese Frequenz (abziiglich eines Sicher- 
heitsabstands) wird der Prozessor freigegeben, und 

25 es wird davon ausgegangen, dass er bei dieser frei- 
gegebenen maximalen Frequenz und darunter liegenden 
Taktf requenzen sicher betrieben werden kann. 

Es ist bereits vorgeschlagen worden, Prozessoren 
30 fur netzunabhangige Anwendungen je nach Auslas- 
tungsgrad bei unterschiedlichen Taktf requenzen zu 
betreiben. Ziel dieser MaJinahme ist eine Minimie- 
rung der Leistungsauf nahme des Prozessors. Da diese 
linear mit der Taktfrequenz zunimmt, ist es an sich 
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wunschenswert, den Prozessor bei einer Taktrate zu 
betreiben, die nicht hoher ist, als zur Bewaltigung 
der aktuellen Aufgaben des Prozessors erf orderlich . 

5 Man kann feststellen, dass Alterungserscheinungen 
von elektronischen Bauelementen zu einer Zunahme 
der Wahrscheinlichkeit von spontanen Verarbeitungs- 
fehlern in einem Datenverarbeitungssystem fiihren. 
Diese Steigerung kann zum Beispiel erklart werden 

10 durch langfristige Veranderungen an Grenzflachen 
der Halbleitersubstrate, auf denen die Schaltungen 
implementiert sind, und die zu Veranderungen der 
parasitaren Kapazitaten fiihren, welche die Schal- 
tungen belasten. Auch eine Migration von Dotierma- 

15 terial in Schaltungselementen kann bei hohen Be- 
triebstemperaturen nicht ausgeschlossen werden, wo- 
bei die Wirkungen einer solchen Migration um so 
starker sind, je kleiner die auf den Halbleitersub- 
straten gebildeten Strukturen sind. In Anbetracht 

20 der Entwicklung zu immer hoheren Integrationsdich- 
ten ist daher mit einer zunehmenden Bedeutung von 
alterungsbedingten Zuverlassigkeitsproblemen zu 
rechnen . 

25 Vorteile der Erfindung 

Durch die vorliegende Erfindung, wie in Anspruch 1 
definiert, wird ein Datenverarbeitungssystem ge- 
schaffen, welches trotz der oben geschilderten 
30 Probleme langfristig ein hohes Mali an Betriebsi- 
cherheit garantiert und dadurch insbesondere fur 
sicherheitskritische Anwendungen gut geeignet ist, 
bei denen es wichtig ist, spontane Funktionsausf al- 
le soweit wie moglich zu vermeiden. 
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Diese Vorteile werden bei einem Datenverarbeitungs- 
system mit einer getaktet arbeitenden Ausfuhrungs- 
einheit, einem Taktgenerator zum Liefern eines 
5 Taktsignals fur die Ausfuhrungseinheit und einer 
tiberwachungseinheit zum Uberwachen des ordnungsge- 
maJien Arbeitens der Ausfuhrungseinheit dadurch er- 
reicht, dass der Taktgenerator eingerichtet ist, 
das Taktsignal mit einer steuerbaren Frequenz zu 
10 liefern und dass die tiberwachungseinheit funktions- 
maiiig mit dem Taktgenerator verbunden ist, urn die 
Frequenz des Taktsignals herabzusetzen, wenn nicht- 
ordnungsgemalies Arbeiten der Ausfuhrungseinheit 
festgestellt wird. 

15 

Es wird davon ausgegangen, dass die oben erlauter- 
ten parasitaren Kapazitaten oder die eventuell 
durch Dotierungsmigration verursachte Verringerung 
der Effizienz von Schaltungsbauteilen fur einen we- 

20 sentlichen Teil von im Datenverarbeitungssystem 
auftretenden spontanen Fehlern verantwortlich ist. 
Indem im Fall des Auftretens solcher Fehler die 
Taktrate herabgesetzt wird, wird lediglich ein Teil 
der Rechenkapazitat, die das System unter optimalen 

25 Bedingen erreichen konnte, preisgegeben, die allge- 
meine Zuverlassigkeit des Systems bleibt jedoch er- 
halten . 

Urn im Falle einer Reduzierung der Taktrate eine auf 
30 dem Datenverarbeitungssystem laufende Nutzanwen- 
dung, die wenigstens zeitweise die mit einer ur- 
sprunglich spezif izierten hohen Taktrate erzielbare 
Rechenleistung des Systems voll ausschopft, lauffa- 
hig zu erhalten, sollte die Nutzanwendung zweckma- 
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fiigerweise in eine Mehrzahl von Funktionen geglie- 
dert sein, wobei die Ausfiihrung wenigstens einer 
der Funktionen, die als im Notfall verzichtbar be- 
urteilt wird, in Abhangigkeit von der aktuellen 
5 Taktrate des Systems zur Ausfiihrung freigegeben o- 
der nicht freigegeben ist. 

Die Uberwachungseinheit kann eine an sich bekannte 
Watchdog-Einheit umfassen, die nichtordnungsgemaftes 

10 Arbeiten der Ausfuhrungseinheit feststellt, wenn 
ein Funktionssignal von der Ausfuhrungseinheit in 
einer vorgegebenen Zeitspanne ausbleibt, die aber 
im Falle des Ausbleibens nicht in herkommlicher 
Weise das Datenverarbeitungssystem zurucksetzt, 

15 sondern lediglich die Herabsetzung der Frequenz des 
Taktsignals veranlasst. 

Alternativ oder in Kombination kann die Uberwa- 
chungseinheit eingerichtet sein, eine Testverarbei- 

20 tung durch die Verarbeitungseinheit bei einer aktu- 
ellen Taktrate und einer gegeniiber der aktuellen 
Taktrate veranderten Taktrate ausfiihren zu lassen 
und nichtordnungsgemaJies Arbeiten der Ausfuhrungs- 
einheit festzustellen, wenn das Ergebnis der bei 

25 der aktuellen Taktrate durchgef uhrten Testverarbei- 
tung und das Ergebnis der bei der veranderten Takt- 
rate durchgef uhrten Testverarbeitung sich unter- 
scheiden . 

30 Vorzugsweise handelt es sich bei der veranderten 
Taktrate urn eine gegeniiber der aktuellen Taktrate 
erhohte Taktrate. Dies erlaubt es, eine Neigung des 
Datenverarbeitungssystems, spontane Fehler zu pro- 
duzieren, festzustellen, noch bevor die Grenz- 
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Taktf requenz, oberhalb derer Verarbeitungsf ehler 
auftreten, auf das Niveau der aktuellen Taktfre- 
quenz abgesunken ist. 

5 Die tiberwachungseinheit , die die Ausfiihrung der 
Testverarbeitung steuert, kann einfach und preis- 
wert auf programmtechnischem Wege in der Ausfuh- 
rungseinheit implementiert sein. 

10 Einer anderen Ausgestaltung zufolge umfasst die ti- 
berwachungseinheit eine zweite Ausfuhrungseinheit 
und Mittel zum Vergleichen der Verarbeitungsergeb- 
nisse der zwei Ausfiihrungseinheiten und ist einge- 
richtet, nichtordnungsgemaftes Arbeiten bei Nicht- 

15 iibereinstimmung der Ergebnisse f estzustellen . Hier 
genugt eine einmalige Ausfiihrung der Testverarbei- 
tung, urn die Zuverlassigkeit des Datenverarbei- 
tungssystems zu beurteilen. 

20 Auch bei dieser Ausgestaltung ist es zweckmaBig, 
fur eine Prufung der Betriebssicherheit die Takt- 
frequenz zeitweilig uber eine aktuelle Taktfrequenz 
zu erhohen und bei Feststellung von nicht ordnungs- 
gemaJiem Arbeiten bei der erhdhten Taktfrequenz die 

25 Taktfrequenz unter besagte aktuelle Taktfrequenz 
abzusenken . 

Das Datenverarbeitungssystem sollte uber Mittel zum 
Ausgeben eines Warnsignals bei Absenkung der Takt- 
30 f requenz unter eine untere Grenze verfiigen. 

Insbesondere kann es sich bei dem Datenverarbei- 
tungssystem urn ein Steuergerat fur ein Kraftfahr- 
zeug, insbesondere ein Motorsteuergerat handeln. 
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Gegenstand der Erfindung ist auch ein Verfahren zum 
Betreiben einer getaktet arbeitenden Ausfuhrungs- 
einheit eines Datenverarbeitungssystems , insbeson- 
5 dere eines Datenverarbeitungssystems der oben be- 
schriebenen Art, bei dem die Ausf uhrungseinheit auf 
ordnungsgemalies Arbeiten bei einer hohen Taktfre- 
quenz gepruft wird und die Taktrate gesenkt wird, 
wenn nichtordnungsgemafies Arbeiten der Ausfiihrungs- 

10 einheit festgestellt wird, wobei die Priifung regel- 
maJJig wiederholt wird. Die regelmafiige Priifung kann 
insbesondere jeweils beim Ein- und/oder Ausschalten 
des Datenverarbeitungssystems oder periodisch wah- 
rend des Betriebs des Datenverarbeitungssystems 

15 vorgenommen werden. 

Weitere Merkmale und Vorteile der Erfindung ergeben 
sich aus der nachf olgenden Beschreibung von Ausfuh- 
rungsbeispielen unter Bezugnahme auf die beigefug- 
20 ten Figuren. 

Figuren 

Fig. 1 ist ein Blockdiagramm eines Datenverarbei- 
25 tungssystems gemafi einer ersten Ausgestal- 

tung der Erfindung; 

Fig. 2 ist ein Flussdiagramm eines von dem Daten- 
verarbeitungssystem der Fig. 1 ausgefuhrten 
30 Betriebsverf ahrens; und 

Fig. 3 ist ein Blockdiagramm einer zweiten Ausges- 
taltung eines Datenverarbeitungssystems ge- 
ma£> der Erfindung. 
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Beschreibung der Ausflihrungsbeispiele 

Das in Fig. 1 schematisch dargestellte Datenverar- 
5 beitungssystem umfasst einen Mikroprozessor 1, ei- 
nen Arbeitsspeicher 2 und eine Uberwachungseinheit 
3, die iiber einen Daten- und Adressbus 4 miteinan- 
der sowie gegebenenf alls mit nicht gezeigten Peri- 
pherieeinheiten kommunizieren, die je nach Anwen- 

10 dung des Systems unterschiedlich sein konnen und 
zum Beispiel im Falle einer Anwendung als Mo- 
torsteuergerat diverse Sensoren zum Erfassen von 
Betriebsparametern des Motors und Aktoren zum Be- 
einflussen dieser oder anderer Parameter des Motors 

15 umfassen konnen. Das System umfasst ferner einen 
Taktgenerator 5, der ein Taktsignal mit einer von 
der Uberwachungseinheit 3 iiber eine Steuerleitung 6 
spezif izierten Frequenz iiber eine Taktleitung 7 an 
den Mikroprozessor 1, den Arbeitsspeicher 2 und die 

20 Uberwachungseinheit 3 liefert. 

Der Arbeitsspeicher 2 enthalt Programmanweisungen 
einer von dem Mikroprozessor 1 auszuf uhrenden Nutz- 
anwendung sowie einer Testverarbeitung . 

25 

Der Mikroprozessor 1 ist vom Hersteller fur eine 
Arbeits- Taktfrequenz spezif iziert . Unter normalen 
Betriebsbedingungen steuert die Uberwachungseinheit 
3 den Taktgenerator 5 an, um diese spezif izierte 
30 Taktfrequenz zu erzeugen, wahrend der Mikroprozes- 
sor 1 die Nutzanwendung ausfuhrt. Immer wenn das 
System eingeschaltet wird, im Falle eines als Mo- 
torsteuergerat arbeitenden Systems z. B. durch Dre- 
hen eines Ziindschliissels, fiihrt der Mikroprozessor 
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1 vor Beginn der Nutzanwendung eine Initialisierung 
aus, deren Ablauf anhand von Fig. 2 erlautert wird. 
In einem ersten Schritt SI setzt die Uberwachungs- 
einheit 3 die Taktfrequenz f des Taktgenerators auf 
5 die fur den Mikroprozessor 1 spezif izierte Frequenz 
fnom. Bei dieser Taktfrequenz fiihrt der Mikroprozes- 
sor 1 in Schritt S2 die bereits erwahnte Testverar- 
beitung aus. Diese Testverarbeitung kann z. B. aus 
einer Folge von arithmetischen oder logischen Ope- 

10 rationen bestehen, die an aus dem Arbeitsspeicher 2 
gelesenen Konstanten durchgefuhrt werden und daher 
bei jeder Durchfuhrung das gleiche Endergebnis lie- 
fern sollten. Der letzte Schritt S3 der Testverar- 
beitung ist ein Schreiben des Ergebnisses an eine 

15 Adresse, die der Uberwachungseinheit 3 zugeordnet 
ist, so dass diese das Ergebnis Rnom empfangt und 
zwischenspeichert . 

Anschlieftend erhoht die Uberwachungseinheit 3 die 
20 Taktfrequenz f auf f n0 m+A <S4) und lasst den Mikro- 
prozessor 1 die Testverarbeitung bei dieser erhoh- 
ten Taktfrequenz wiederholen (S5) . Das Ergebnis R inc 
wird auf diese Weise wiederum in die Uberwachungs- 
einheit 3 geschrieben (S6) . Diese vergleicht nun in 
25 Schritt S7 die zwei empfangenen Ergebnisse R n0 m und 
Ri nc . Bei Ubereinstimmung wird davon ausgegangen, 
dass der Prozessor 1 bei beiden Taktf requenzen, f nom 
und f nom +A, korrekt gearbeitet hat. In diesem Fall 
wird in Schritt S8 die Taktfrequenz f auf f n0 m zu- 
30 ruckgesetzt, und der Mikroprozessor 1 beginnt, die 
Nutzanwendung auszufiihren. 

Falls in Schritt S7 Nichtubereinstimmung der Ergeb- 
nisse festgestellt wird, so bedeutet dies, dass die 
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erhohte Taktfrequenz fnom+A nicht betriebssicher 
ist. Urn von dieser nichtbetriebssicheren Frequenz 
einen Sicherheitsabstand einzuhalten, wird in 
Schritt S9 eine neue, verringerte Betriebsf requenz 
5 f = fnom-A eingestellt. In Schritt S10 uberpriift der 
Mikroprozessor 1 anhand einer vom Hersteller des 
Systems vorbeireiten und im Arbeitsspeicher 2 abge- 
legten Liste, ob die Nutzanwendung Funktionen ent- 
halt, deren Ausfiihrung bei der reduzierten Taktrate 

10 gesperrt werden muss, urn die Funktionsf ahigkeit der 
Nutzanwendung in ihren wesentlichen Merkmalen auf- 
recht zu erhalten und unzulassig lange Reaktions- 
zeiten der Nutzanwendung auf auBere Ereignisse zu 
verhindern und diese Funktionen gegebenenf alls zu 

15 sperren. Des weiteren wird in Schritt S10 eine 
Warnanzeige an einen Benutzer ausgegeben, wenn we- 
nigstens eine der folgenden Bedingungen erfullt 
ist: 

20 a) eine abermalige Verringerung der Taktfrequenz 
urn A wtirde die Sperrung wenigstens einer Funktion 
der Nutzanwendung erforderlich machen; 

b) die Verringerung der Taktrate in Schritt S9 
25 hat zur Sperrung einer Funktion gefiihrt; 

c) es sind bereits alle fur die Nutzanwendung 
nicht lebenswichtigen Funktionen gesperrt, so dass 
eine weitere Verringerung der Taktrate nicht durch 

30 Sperrung weiterer Funktionen aufgefangen werden 
konnte, sondern zur Inoperabilitat des gesamten 
Systems fiihren wurde. 
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Die Schritte SI bis S3 einerseits und S4 bis S10 
andererseits mussen nicht unbedingt zeitlich auf- 
einanderf olgend ausgefiihrt werden. So ist es z. B. 
denkbar, die Schritte SI bis S3 nur einmal wahrend 
5 einer erstmaligen Inbetriebnahme des Systems durch- 
zufuhren und ihr Ergebnis R nom in der Uberwachungs- 
einheit 3 gespeichert zu halten, so dass spatere 
Prufungen der Betriebssicherheit des Systems sich 
auf die Durchfuhrung S4 bis S10 beschranken konnen . 

10 

Dies ist insbesondere dann zweckmafiig, wenn tiber- 
prufungen der Betriebssicherheit auch periodisch 
bei laufendem System durchgefuhrt werden, da zum 
Durchfuhren der Schritte S4 bis S10 die Nutzanwen- 
15 dung nur etwa halb so lang unterbrochen werden muss 
wie fur die Durchfuhrung des gesamten in Fig. 2 ge- 
zeigten Verfahrens. 

Urn den Start der Nutzanwendung nicht durch die Be- 
20 triebsicherheitsprufung gemafr Fig. 2 zu verzogern, 
kann auch vorgesehen werden, dass diese Prufung 
nicht jeweils bei Inbetriebnahme des Systems, son- 
dern unmittelbar vor dessen Ausschalten durchge- 
fuhrt wird, wobei naturlich in diesem genau wie im 
25 vorhergehenden Fall eine eventuell in Schritt S9 
neu festgelegte Betriebsf requenz f bei einer an- 
schlieJJenden Wiederholung des Verfahrens als die 
spezif izierte Frequenz f nom verwendet wird. 

30 Zusatzlich zu der oben beschriebenen Aufgabe des 
Vergleichens der Ergebnisse R norn und R inc der zwei 
Testverarbeitungen kann die Uberwachungseinheit 3 
in an sich bekannter Weise auch noch die Aufgabe 
des Erfassens eines undef inierten Betriebszustandes 
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Oder Absturzes des Mikroprozessors 1 wahrnehmen. Zu 
diesem Zweck ist die Nutzanwendung so ausgelegt, so 
dass sie in regelmaliigen Zeitabstanden die Erzeu- 
gung eines Totmannsignales veranlasst, welches von 
5 der Uberwachungseinheit 3 empfangen wird. Dieses 
Totmannsignal kann z. B. ein Lesezugriff auf die 
oben erwahnte Adresse sein, an welche der Mikropro- 
zessor 1 die Ergebnisse der Testverarbeitung 
schreibt. Dieses Totmannsignal setzt in der tiberwa- 

10 chungseinheit 3 jeweils einen Zeitgeber zuruck, 
dessen Latenzzeit langer als der vorgesehene Zeit- 
abstand zwischen zwei Totmannsignal en ist. Solange 
die Totmannsignale im vorgesehenen Zeitabstand ein- 
treffen, wird der Zeitgeber regelmafiig zuruckge- 

15 setzt und kann nicht ablaufen. Wenn im Folge eines 
Prozessorabsturzes das Totmannsignal ausbleibt und 
der Zeitgeber ablauft, lost die Uberwachungseinheit 
3 uber eine Resetleitung 8 (Fig. 1) einen Reset des 
Mikroprozessors 1 aus und veranlasst diesen so, die 

20 Nutzanwendung neu zu starten. 

Fig. 3 zeigt eine zweite Ausgestaltung eines erfin- 
dungsgemaBen Datenverarbeitungssystems mit zwei 
Mikroprozessoren 1, 11, die jeweils uber einen Da- 

25 ten-/Adressbus 4, 14 mit einem zugeordneten Ar- 
beitsspeicher 2, 12 und gegebenenf alls mit nicht 
dargestellten Peripherieeinheiten kommunizieren . 
Ein Datenverarbeitungssystem mit einer solchen 
Struktur kommt insbesondere bei einem Motorsteuer- 

30 gerat fur einen Motor mit sechs oder mehr Zylindern 
in Betracht, bei welchem die Zylinder in zwei Grup- 
pen aufgeteilt sind, welche jeweils von einem der 
zwei Prozessoren 1, 11 gesteuert werden. Die Pro- 
zessoren 1, 11 empfangen ein Taktsignal von einem 
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gemeinsamen Taktgenerator 5 iiber eine Taktleitung 
7 . Die Frequenz des Taktsignals ist gesteuert durch 
eine ebenfalls beiden Prozessoren 1, 11 gemeinsam 
zugeordnete Uberwachungseinheit 3 . Alle Adern der 
5 Busse 4, 14, sowohl Daten- als auch Adressleitun- 
gen, liegen an einer Bank von XOR-Gattern 20 an, 
deren Ausgang jeweils genau dann den Wert „wahr" 
annimmt, wenn sich die Werte auf den zwei homologen 
Adern der Busse 4, 14, die an den zwei Eingangen 

10 eines gleichen Gatters 20 anliegen, unterscheiden . 
Die Ausgange der XOR-Gatter 20 sind jeweils mit ei- 
nem Eingang eines OR-Gatters 21 verbunden, dessen 
Ausgang folglich immer dann den Wert „wahr" an- 
nimmt, wenn sich die Werte auf zwei beliebigen ho- 

15 mologen Adern der Busse 4, 14 unterscheiden. 

Resetleitungen 8, die die gleiche Funktion wie bei 
der Ausgestaltung der Fig. 1 erfullen, konnen zwi- 
schen der Uberwachungseinheit 3 und den Prozessoren 
20 1, 11 vorgesehen sein. 

Mogliche Arbeitsweisen dieser Ausgestaltung werden 
im Folgen ebenfalls unter Ruckgriff auf Fig. 2 be- 
schrieben. 

25 

Einer ersten Alternative zufolge beginnt die Uber- 
wachungseinheit 3 die Betriebssicherheitspruf ung, 
indem sie wie in Schritt S4 die Frequenz des Takt- 
signals f uber eine aktuell im Normalbetrieb ver- 
30 wendete Frequenz f nom hinaus erhoht und dann eine 
Testverarbeitung (S5) durch die Mikroprozessoren 1, 
11 ausfiihren lasst, deren Ergebnisse von der Nutz- 
anwendung nicht benotigt werden, sondern die ledig- 
lich der Sicherheitspriif ung dient. Wahrend dieser 
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Verarbeitung vergleichen die Logikgatter 20, 21 
fortlaufend die von den Mikroprozessoren 1, 11 er- 
zeugten Daten und Adressen, entsprechend dem 
Schritt S7 der Fig. 2. Wenn diese Daten und Adres- 
5 sen wahrend der gesaraten Testverarbeitung gleich 
sind, arbeiten beide Prozessoren 1, 11 sicher, und 
die Taktfrequenz wird in Schritt S8 auf f n0 m zuruck- 
gesetzt. Falls jedoch eine Abweichung in einem Da- 
tenwert oder einer Adresse auftritt, verzweigt das 

10 Verfahren zu Schritt S9, wo die Taktfrequenz herab- 
gesetzt wird, und in Schritt S10 wird, wie bereits 
oben erlautert, festgelegt, ob und gegebenenf alls 
welche Funktionen des Anwendungsprogramms gesperrt 
werden mussen, und gegebenenf alls eine Warnung an 

15 den Benutzer ausgegeben. 

Da gemafi dieser Ausgestaltung nicht nur Endergeb- 
nisse der Testverarbeitung verglichen werden, son- 
dern auch samtliche Zwischenergebnisse einschlieB- 
20 lich der angesprochenen Adressen, wird bei gleicher 
Anzahl von Programmschritten der Testverarbeitung 
ein Fehler mit hoherer Wahrscheinlichkeit als bei 
der ersten Ausgestaltung erf asst. 

25 Zusatzlich bietet das Datenverarbeitungssystem der 
Fig. 3 die Moglichkeit , Fehler der Prozessoren 1, 
11 auch dann zu erfassen, wenn diese gleichzeitig 
identische Anweisungen bei der normalen Taktfre- 
quenz f nom ausfuhren, z. B. in einer Startphase der 

30 Nutzanwendung, in welcher fur beide Prozessoren 1, 
11 identische Initialisierungen vorgenommen werden. 
Dies erlaubt eine Priifung der Betriebssicherheit 
vollig ohne Zeitaufwand. 
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Prozessoren und Uberwachungseinheiten sind in den 
obigen Beispielen als getrennte Einheiten beschrie- 
ben worden. Selbstverstandlich konnen aber auch 
Prozessoren mit einer in die Prozessorschaltungen 
5 integrierten, fest verdrahteten Fehlererkennungs- 
funktion zum Erkennen von ECC- oder Paritatsf ehlern 
in durch den Prozessor gelesenen Daten zum Einsatz 
kommen; ein solcher Prozessor kann als Kombination 
von Prozessor und Uberwachungseinheit im Sinne der 
10 vorhergehenden Beschreibung aufgefasst werden. 
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Patentanspruche 



Datenverarbeitungssystem mit einer getaktet 
arbeitenden Ausfiihrungseinheit (1) , einem 
Taktgenerator (5) zum Liefern eines Takt- 
signals fur die Ausfiihrungseinheit (1) und 
einer Uberwachungseinheit (3) zum tiberwa- 
chen des ordnungsgemaften Arbeitens der Aus- 
fiihrungseinheit (1), dadurch gekennzeich- 
net, dass der Taktgenerator (5) eingerich- 
tet ist, das Taktsignal mit einer steuerba- 
ren Frequenz zu liefern und dass die Uber- 
wachungseinheit (3) funktionsmaMg mit dem 
Taktgenerator (5) verbunden ist, urn die 
Frequenz des Taktsignals herabzusetzen, 
wenn nichtordnungsgemaJJes Arbeiten der Aus- 
fiihrungseinheit (1) festgestellt wird. 



2. Datenverarbeitungssystem nach Anspruch 1, 

dadurch gekennzeichnet , dass die Uberwa- 
chungseinheit (3) eine Watchdog-Einheit um- 
25 fasst, die nichtordnungsgemaJJes Arbeiten 

der Ausfiihrungseinheit feststellt, wenn ein 
Funktionssignal von der Ausfiihrungseinheit 
in einer vorgegebenen Zeitspanne ausbleibt. 

30 3. Datenverarbeitungssystem nach Anspruch 1, 

dadurch gekennzeichnet, dass die Uberwa- 
chungseinheit (3) eingerichtet ist, eine 
Testverarbeitung von der Verarbeitungsein- 
heit bei einer aktuellen Taktrate (f nom ) und 
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einer gegenuber der aktuellen Taktrate ver- 
anderten Taktrate ausfuhren zu lassen und 
nichtordnungsgemaBes Arbeiten der Ausfuh- 
rungseinheit f estzustellen, wenn das Ergeb- 
5 nis der bei der aktuellen Taktrate durchge- 

fuhrten Testverarbeitung und das Ergebnis 
der bei der veranderten Taktrate durchge- 
fuhrten Testverarbeitung sich unterschei- 
den. 

10 

4. Datenverarbeitungssystem nach Anspruch 3, 
dadurch gekennzeichnet, dass die veranderte 
Taktrate (f n0 m+A) eine gegenuber der aktuel- 
len Taktrate (f nom ) erhohte Taktrate ist. 

15 

5. Datenverarbeitungssystem nach Anspruch 3 
oder 4, dadurch gekennzeichnet, dass die 
Uberwachungseinheit (3) programmtechnisch 
in der Ausfuhrungseinheit (1) implementiert 

20 ist. 

6. Datenverarbeitungssystem nach Anspruch 1, 
dadurch gekennzeichnet, dass die Uberwa- 
chungseinheit (3, 11, 20, 21) eine zweite 

25 Ausfuhrungseinheit (11) und Mittel (20, 21) 

zum Vergleichen der Verarbeitungsergebnisse 
der zwei Ausf uhrungseinheiten (1, 11) um- 
fasst und eingerichtet ist, nichtordnungs- 
gemaJ3es Arbeiten bei Nichtubereinstimmung 

30 der Ergebnisse f estzustellen . 

7. Datenverarbeitungssystem nach Anspruch 6, 
dadurch gekennzeichnet, dass der Taktgene- 
rator (5) eingerichtet ist, die Taktrate 
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zeitweilig iiber eine aktuelle Taktrate zu 
erhohen (S4) und bei Feststellung von 
nichtordnungsgemaflem Arbeiten bei der er- 
hohten Taktrate die Taktrate unter besagte 
aktuelle Taktrate abzusenken (S9) . 

Datenverarbeitungssystem nach einem der 
vorhergehenden Anspriiche, dadurch gekenn- 
zeichnet, dass sie Mittel zum Ausgeben ei- 
nes Warnsignals bei Absenkung der Taktrate 
unter eine untere Grenze verfiigt. 

Datenverarbeitungssystem nach einem der 
vorhergehenden Anspriiche, dadurch gekenn- 
zeichnet, dass die Ausfuhrungseinheit (1) 
ferner eingerichtet ist, eine Nutzanwendung 
auszufuhren, die eine Mehrzahl von Funktio- 
nen umfasst, wobei die Ausfiihrung wenigs- 
tens einer der Funktionen in Abhangigkeit 
von der aktuellen Taktrate des Systems 
freigegeben oder nicht freigegeben ist. 

Datenverarbeitungssystem nach einem der 
vorhergehenden Anspriiche, dadurch gekenn- 
zeichnet, dass es ein Kf z-Steuergerat ist. 

Verfahren zum Betreiben einer getaktet ar- 
beitenden Ausfuhrungseinheit (1) eines Da- 
tenverarbeitungssystems, insbesondere nach 
einem der vorhergehenden Anspriiche, bei dem 
die Ausfuhrungseinheit (1) auf ordnungsge- 
maJies Arbeiten bei einer hohen Taktrate ge- 
priift (S4-S7) und die Taktrate gesenkt wird 
(S9), wenn nichtordnungsgemaftes Arbeiten 
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der Ausfiihrungseinheit festgestellt wird, 
dadurch gekennzeichnet, dass die Prufung 
regelmaflig wiederholt wird. 

5 12. Verfahren nach Anspruch 10, dadurch gekenn- 

zeichnet, dass die Prufung jeweils beim 
Ein- und/oder Ausschalten des Datenverar- 
beitungs systems vorgenommen wird. 

10 13. Verfahren nach Anspruch 10, dadurch gekenn- 

zeichnet, dass die Prufung periodisch wah- 
rend des Betriebs des Datenverarbeitungs- 
systems vorgenommen wird. 
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